正则表达式攻击实例 Regular Expressions Denial of Service

最新推荐文章于 2022-04-22 23:58:30 发布
最新推荐文章于 2022-04-22 23:58:30 发布
阅读量8.6k 收藏 4
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kewen1989/article/details/48002791
版权

实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。这个缺陷可被攻击者用于执行 DOS (Denial of Service) 攻击。

仔细研究了一把,完全搞懂这种攻击是怎么回事了。直接上代码,看的很清楚

public class RegularExpressionsDOSExp
{
	 public static void main(String[] args)
	 {
	 String patterStr = "^(([a-z])+.)+[A-Z]([a-z])+$";
	 String pa
最低0.47元/天 解锁文章
kewen303
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fortify漏洞之Denial of Service: Regular Expression
arkqyo2595的博客
06-05 2076
  继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因:   实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷...
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器
最新发布
gitblog_00044的博客
06-06 530
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器 项目地址:https://gitcode.com/jagracey/RegEx-DoS 在当今的网络安全环境中,防止服务中断变得越来越重要,尤其是由于 Regular Expression Denial of Service(ReDos)攻击引起的中断。ReDos 是一种利...
glob-parent Regular expression denial ofservice
kking_edc的博客
03-09 2200
问题出现在chokidar包依赖的glob-parent版本过低,将"dependencies"中的glob-parent修改为: "glob-parent": "^6.0.1", 即可。
Web作业:Regular Expression
daze19891217的博客
11-04 140
Regular Expression正则表达式) 1、相关语法: 由普通字符和特殊字符(元字符)组成。 普通字符包括:数字,大小写字母,下划线等 特殊字符:() [] {} ^ $ * ? \ | + . 普通字符可以直接拿来用,特殊字符是一定要转义。 2、正则表达式: "^//d+$"  //非负整数(正整数 + 0) "^[0-9]*[1-9][0-9]*$"  //...
正则表达式所引发的DoS攻击(Redos)
Keix
04-21 6545
转自:https://www.freebuf.com/column/201766.html 正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatshe...
正则也会发生DoS攻击— ReDoS
SiShen654的博客
05-27 1394
“Regular Expression Denial of Service (ReDoS)” 什么?正则表达式也能发生拒绝服务攻击? 搜了一下,这篇文章介绍得十分详细,而且有一个触发这个漏洞的范例: How to eliminate regular expression denial of service 有兴趣的朋友可以阅读一下。如果纯粹想体验一下这个漏洞,文中指出的 JavaScript 范例代码如下: let regex = /("[^"]*"|[^@])*@([^@]*)/ t = performa
SAP ABAP 正则表达式 Regular expressions
12-12
在SAP ABAP开发中,正则表达式(Regular expressions)是一种强大的文本处理工具,能够高效地处理基于文本的信息。正则表达式允许开发者通过模式匹配来搜索、替换或者提取字符串中的特定部分,广泛应用于数据验证、...
Java正则表达式教程(Regular Expressions of Java Tutorial)
02-22
正则表达式善于处理文本,对匹配、搜索和替换等操作都有意想不到的作用。正因如此,正则表达式现在是作为程序员七种基本技能之一*,因此学习和使用它在工作中都能达到很高的效率。 教程中所有的源代码都在 src 目录...
A Tao of Regular Expressions/正则表达式之道
02-02
你可以查看“正则表达式在各种工具中的使用”来了解不同工具中正则表达式的应用实例。 对于vi的替换命令及其语法的简短解释,将在本文档的末尾提供。 正则表达式基础 正则表达式由普通字符和元字符组成。普通字符...
RegularExpressions:正则表达式速查表
05-01
正则表达式速查表 正则表达式好文推荐 划重点(慎用全局g) 第二次匹配会返回false,是因为开启全局匹配后,会记录上一次匹配结束的位置即:lastIndex,下次会从lastIndex开始匹配 var re = /^[1-9]\d{4,10}$/g; var...
拒绝服务攻击(DoS, Denial of Service
linux系统、网络编程和分布式计算
02-19 2192
当一个服务器处理多个客户时,它决不能阻塞于只与单个客户相关相关的某个函数调用,否则可能导致服务器呗挂起,拒绝为其他客户服务。这就是“拒绝服务(denial of service)型攻击”。可能解决办法:(1)使用非阻塞式I/O;(2)让每个客户由单独的线程提供服务;(3)为I/O操作设置一个超时。
Regular Expressions (1) ---- What is Regular Expressions?
ET Dreams
09-09 2818
Regular Expressions (1) ---- What is Regular Expressions? 正则表达式是常见常忘,所以还是记下来比较保险,于是就有了这篇笔记。希望对大家会有所帮助。J1.什么是正则表达式.............................................................................
网络攻击技术(三)——Denial Of Service
weixin_34411563的博客
02-05 609
1.1.1 摘要         最近网络安全成了一个焦点,除了国内明文密码的安全事件,还有一件事是影响比较大的——Hash Collision DoS(通过Hash碰撞进行的拒绝式服务攻击),有恶意的人会通过这个安全漏洞让你的服务器运行巨慢无比,那他们是通过什么手段让服务器巨慢无比呢?我们如何防范DoS攻击呢?本文将给出详细的介绍。   1.1.2 正文         在介绍Hash Coll...
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 820
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
利用重做
weixin_26636643的博客
09-27 297
Regex is everywhere on the Internet nowadays. Regex如今在Internet上无处不在。 From input validation code, web application firewalls, to malware detection rules, regex is becoming one of the most important cyb...
Regular Expression Matching
angelewings的专栏
11-04 391
首先明确一点s中是没有*和.的
node依赖安全扫描工具
weixin_34268753的博客
09-13 386
企业级node安全保障 第三方依赖的安全隐患 安全现状 去年11月, snyk公司发布《2017开源软件安全报告》, 其中扫描了43万个站点, 发现77%的站点包含到至少1个以上已知漏洞. OWASP把"Using Components with Known Vulnerabilities"列为十大安全威胁之一. 为什么需要漏洞扫描工具 几乎每个项目都会引用许多第三广告的包, 有人统计一个项目...
正则表达式的redos攻击
lucky_ly的博客
04-22 7729
正则表达式的redos攻击
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值